隨著互聯(lián)網(wǎng)安全問題的升級(jí)，IPS系統(tǒng)即網(wǎng)絡(luò)防火墻及IDS之后成為完善網(wǎng)絡(luò)安全問題的熱門產(chǎn)品。IPS系統(tǒng)（Intrusion Prevention System ， 入侵防御系統(tǒng)）簡(jiǎn)單來說，IPS系統(tǒng)是位于防火墻和網(wǎng)絡(luò)的設(shè)備之間。這樣，如果檢測(cè)到攻擊，IPS系統(tǒng)會(huì)在這種攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信。那么相對(duì)于IDS，IPS系統(tǒng)的出現(xiàn)究竟是替代了IDS技術(shù)還是IDS技術(shù)的升級(jí)版呢？

有人指出，入侵防御系統(tǒng)（IPS）就是入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）的升級(jí)產(chǎn)品，有了IPS系統(tǒng)，就可以替代以前的IDS系統(tǒng)，這也正是gartner在2003年發(fā)表那篇著名的“IDS is dead” 的理由。

從入侵防御系統(tǒng)的起源來看，這個(gè)“升級(jí)說”似乎有些道理：NetworkICE公司在2000年首次提出了IPS系統(tǒng)這個(gè)概念，并于同年的9月18日推出了BlackICEGuard，這是一個(gè)串行部署的IDS，直接分析網(wǎng)絡(luò)數(shù)據(jù)并實(shí)時(shí)對(duì)惡意數(shù)據(jù)進(jìn)行丟棄處理。

但I(xiàn)PS系統(tǒng)真的會(huì)取代IDS系統(tǒng)嗎？IPS系統(tǒng)是在IDS系統(tǒng)的基礎(chǔ)上發(fā)展出來的，IDS是一種網(wǎng)絡(luò)安全系統(tǒng)，當(dāng)有敵人或者惡意用戶試圖通過Internet進(jìn)入你的網(wǎng)絡(luò)甚至計(jì)算機(jī)系統(tǒng)時(shí)，這種系統(tǒng)可以檢測(cè)出來，并進(jìn)行報(bào)警，通知你采取措施進(jìn)行響應(yīng)。就像買汽車保險(xiǎn)一樣，IDS也被認(rèn)為是“最好買上，以防萬一”的東西，否則等到出事兒的時(shí)候就晚了。IPS系統(tǒng)（入侵防御系統(tǒng)）的出現(xiàn)，應(yīng)該說是IDS技術(shù)的一種新發(fā)展趨勢(shì)，IPS系統(tǒng)在IDS監(jiān)測(cè)的功能上又增加了主動(dòng)響應(yīng)的功能，一旦發(fā)現(xiàn)有攻擊行為，立即響應(yīng)，主動(dòng)切斷連接。它的部署方式不像IDS并聯(lián)在網(wǎng)絡(luò)中，而是以串聯(lián)的方式接入網(wǎng)絡(luò)中，學(xué)過物理的話，應(yīng)該理解串連與并連的區(qū)別吧，這里的串連與并連有異曲同工之妙，就像你說的一樣，IPS系統(tǒng)確實(shí)好于IDS系統(tǒng)，它更主動(dòng)，但從筆者的觀點(diǎn)來說，它們只能算是父子關(guān)系入侵檢測(cè)是一門綜合性技術(shù)，既包括實(shí)時(shí)檢測(cè)技術(shù)，也有事后分析技術(shù)。

看了上面這么多內(nèi)容，你可能會(huì)有些覺得混亂，下面我沒來看看IPS系統(tǒng)到底是什么，以及他的未來前景如何！

一、IPS系統(tǒng)到底是什么？

“IPS系統(tǒng)可以阻斷攻擊，這正是IDS所做不了的，所以IPS系統(tǒng)是IDS的升級(jí)，是IDS的替代品”，可能很多人都會(huì)有這種看法。

我們先來看IPS系統(tǒng)的產(chǎn)生原因：

A：串行部署的防火墻可以攔截低層攻擊行為，但對(duì)應(yīng)用層的深層攻擊行為無能為力。

B：旁路部署的IDS可以及時(shí)發(fā)現(xiàn)那些穿透防火墻的深層攻擊行為，作為防火墻的有益補(bǔ)充，但很可惜的是無法實(shí)時(shí)的阻斷。

C：IDS和防火墻聯(lián)動(dòng)：通過IDS來發(fā)現(xiàn)，通過防火墻來阻斷。但由于迄今為止沒有統(tǒng)一的接口規(guī)范，加上越來越頻發(fā)的“瞬間攻擊”（一個(gè)會(huì)話就可以達(dá)成攻擊效果，如SQL注入、溢出攻擊等），使得IDS與防火墻聯(lián)動(dòng)在實(shí)際應(yīng)用中的效果不顯著。 #p#

二 IPS系統(tǒng)的優(yōu)勢(shì)在哪里：

實(shí)時(shí)檢測(cè)與主動(dòng)防御是IPS系統(tǒng)最為核心的設(shè)計(jì)理念，也是其區(qū)別于防火墻和IDS的立足之本。為實(shí)現(xiàn)這一理念，IPS系統(tǒng)在如下四個(gè)方面實(shí)現(xiàn)了技術(shù)突破，形成了不可低估的優(yōu)勢(shì)：

1、在線安裝(In-Line)。IPS系統(tǒng)保留IDS實(shí)時(shí)檢測(cè)的技術(shù)與功能，但是卻采用了防火墻式的在線安裝，即直接嵌入到網(wǎng)絡(luò)流量中，通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中；

2、實(shí)時(shí)阻斷（Real-time Interdiction）。IPS系統(tǒng)具有強(qiáng)有力的實(shí)時(shí)阻斷功能，能夠預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成任何損失；

3、先進(jìn)的檢測(cè)技術(shù)（Advanced Detection Technology）。主要是并行處理檢測(cè)和協(xié)議重組分析。所謂并行處理檢測(cè)是指所有流經(jīng)IPS系統(tǒng)的數(shù)據(jù)包，都采用并行處理方式進(jìn)行過濾器匹配，實(shí)現(xiàn)在一個(gè)時(shí)鐘周期內(nèi)，遍歷所有數(shù)據(jù)包過濾器；而協(xié)議重組分析是指所有流經(jīng)IPS系統(tǒng)的數(shù)據(jù)包，必須首先經(jīng)過硬件級(jí)預(yù)處理，完成數(shù)據(jù)包的重組，確定其具體應(yīng)用協(xié)議。然后，根據(jù)不同應(yīng)用協(xié)議的特征與攻擊方式，IPS系統(tǒng)對(duì)于重組后的包進(jìn)行篩選，將可疑者送入專門的特征庫(kù)進(jìn)行比對(duì)，從而提高檢測(cè)的質(zhì)量和效率；

4、特殊規(guī)則植入功能（Build-in Special Rule）。IPS系統(tǒng)允許植入特殊規(guī)則以阻止惡意代碼。IPS系統(tǒng)能夠輔助實(shí)施可接收應(yīng)用策略(AUP)，如禁止使用對(duì)等的文件共享應(yīng)用和占有大量帶寬的免費(fèi)互聯(lián)網(wǎng)電話服務(wù)工具等；

5、自學(xué)習(xí)與自適應(yīng)能力（Self-study & Self-adaptation Ability）。為了應(yīng)對(duì)黑客們處心積慮、花樣翻新的攻擊手段，IPS系統(tǒng)必須具有人工智能的自學(xué)習(xí)與自適應(yīng)能力。能夠根據(jù)所在網(wǎng)絡(luò)的通信環(huán)境和被入侵狀況，分析和抽取新的攻擊特征以更新特征庫(kù)，自動(dòng)總結(jié)經(jīng)驗(yàn)，定制新的安全防御策略。

三 IPS系統(tǒng)的未來發(fā)展方向是什么：

IPS系統(tǒng)的主線功能是深層防御、精確阻斷，IPS系統(tǒng)未來發(fā)展趨勢(shì)也就明朗化了：不斷豐富和完善IPS系統(tǒng)可以精確阻斷的攻擊種類和類型，并在此基礎(chǔ)之上提升IPS系統(tǒng)產(chǎn)品的設(shè)備處理性能。

而在提升性能方面存在的一個(gè)悖論就是：需提升性能，除了在軟件處理方式上優(yōu)化外，硬件架構(gòu)的設(shè)計(jì)也是一個(gè)非常重要的方面，目前的ASIC/NP等高性能硬件，都是采用嵌入式指令+專用語言開發(fā)，將已知攻擊行為的特征固化在電子固件上，雖然能提升匹配的效率，但在攻擊識(shí)別的靈活度上過于死板（對(duì)變種較難發(fā)現(xiàn)），在新攻擊特征的更新上有所滯后（需做特征的編碼化）。而基于開放硬件平臺(tái)的IPS系統(tǒng)由于采用的是高級(jí)編程語言，不存在變種攻擊識(shí)別和特征更新方面的問題，但在性能上存在處理效率瓶頸：暫時(shí)達(dá)不到電信級(jí)骨干網(wǎng)絡(luò)的流量要求。

所以，入侵防御系統(tǒng)的未來發(fā)展方向應(yīng)該有以下兩個(gè)方面：

第一， 更加廣泛的精確阻斷范圍：擴(kuò)大可以精確阻斷的事件類型，尤其是針對(duì)變種以及無法通過特征來定義的攻擊行為的防御。

第二， 適應(yīng)各種組網(wǎng)模式：在確保精確阻斷的情況下，適應(yīng)電信級(jí)骨干網(wǎng)絡(luò)的防御需求。

四 IPS系統(tǒng)與IDS系統(tǒng)的未來

IPS系統(tǒng)目前不可能取代IDS系統(tǒng)，我們既看到了IPS系統(tǒng)蓬蓬勃勃的增長(zhǎng)勢(shì)頭，但又要承認(rèn)IDS在入侵檢測(cè)領(lǐng)域的傳統(tǒng)優(yōu)勢(shì)，肯定IPS系統(tǒng)目前尚不可能完全取代IDS系統(tǒng)的基本事實(shí)，在建立自己的網(wǎng)絡(luò)與信息安全體系的過程中，將兩者有機(jī)地結(jié)合起來才是保證我們網(wǎng)絡(luò)安全的正確選擇。

【編輯推薦】

1. 利用IPS完美構(gòu)建企業(yè)立體Web安全防護(hù)網(wǎng)
2. 解決方案：UTM和IPS兼顧立體安全防護(hù)
3. 從攻擊規(guī)避檢測(cè)技術(shù)看IPS的安全有效性
4. WAF vs IPS 誰更適合防護(hù)Web應(yīng)用？
5. IPS破解銀行網(wǎng)絡(luò)出口的內(nèi)憂外患